不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

绕过360安全套装+云锁提权案例

开局一个Webshell,先进行简单的信息搜集,查看当前权限,正常的iis权限。

查看版本

wmic OS get Caption,CSDVersion,OSArchitecture,Version

查看软件

wmic product get name,version

因为提前说了有360和云锁。

360全套带云锁,net、net1、netstat不能执行。sql server数据库,但是因为站酷分离,而且cmd被删除,不能执行命令,懒得去突破了。

而且云锁有个最大的特点就是上传的exe不能执行,加上360全套。传上去的基本不行,传微软自带的net也没用,直接秒没。

因为不能穿exe来提权,所以只能先扫下本地有什么端口。webshell+nmap全端口。

开了3389和1433还有3306,但是1433死活找不到密码,碰撞了几个也不行。

发现有好几个tomcat端口,我们很多人应该知道tomcat继承的是system权限或者administrator权限。既然不能用exe提权,我们来用自带的tomcat。

nmap已经扫描出来端口,我们只要找到conf/server.xml文件对应下端口就可以了。

直接去上传个jsp马就行了。

就算是系统权限也是不能执行net net1等等,exe也一样。

所以试了bat导出注册表sam失败了。hta不能执行,powershell失败。所以用了冰蝎自带的meterpreter.

说下sql server自带的工具 SqlDumper.exe是从SQL Server安装目录下提取出来的,功能和Procdump相似,并且也是微软出品的,体积远小于Procdump,也具备一定的免杀功能。

SqlDumper.exe默认存放在C:⧵Program Files⧵Microsoft SQLServer⧵number⧵Shared,number代表SQL Server的版本,参考如下:

可能存在的位置:
C:\Program Files\Microsoft SQL Server0\Shared\SqlDumper.exe
C:\Program Files\Microsoft Analysis Services\AS OLEDB\SQLDumper.exe
C:\Program Files (x86)\Microsoft SQL Server0\Shared\SqlDumper.exe

SqlDumper.exe利用方式

查看lsass.exe的pid
tasklist /svc |findstr lsass.exe
584是lsass.exe的pid
"C:\Program Files\Microsoft SQL Server0\Shared\SqlDumper.exe" 584 0 0x01100

利用webshell把SQLDmpr0001.mdmp下载下来,然后使用mimikatz法国神器得到目标主机明文密码。

mimikatz.exe "sekurlsa::minidump SQLDmpr0001.mdmp" "sekurlsa::logonPasswords full" "exit">1.txt

可以使用query user命令看下管理员在不在, 我们直接登入进去。

结束。

转自:潇湘信安

赞(0) 打赏
未经允许不得转载:seo优化_前端开发_渗透技术 » 绕过360安全套装+云锁提权案例

相关推荐

  • 暂无文章

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏